03. oktober 2016 - 23:04Der er
13 kommentarer og 1 løsning
Blokering af indkommende trafik i firewall
Jeg har en god firewall kørende på en Mikrotik router, og har sat op nogle regler som lægger indkommende trafik på kendte porter til flere blacklists. Første forsøg på TCP port 22 og 23 fører til blacklist i 24t, derefter permanent om de prøver igen. Også kendte mssql/mysql porte bliver lagt til.
Er dog usikker på om det er ret metode, eftersom jeg godt er klar over at disse ofte er inficerede maskiner, og ofte en del af et botnet, så der er ofte en ny ip hver gang, og det kan efterhånden blive en meget stor liste. Min firewall kan klare ganske store blacklists, men er der en mere effektiv metode?
Jeg går meget op i at have en terminal med firewall log kørende i et eget vindue, og vil helst at denne log viser mindst muligt af standard angreb.
Mit spørgsmål er blandt andet dette: Er løsningen at lægge til alle inficerede maskiner i en stor blacklist, og så slette denne en gang imellem?
Ved ikke om du kan konfigurere din router til at huske Mac adressen på de computere der prøver at tilgå, så ligemeget om de skifter IP, kan den blackliste dem.
Nu snakker du om blacklists. Ville det i stedet for at køre blacklists, være muligt at lave en whitelist? Du kender jo ikke alle dem som vil angribe dig, men du bør kender de ip'er du kommer fra? (ved dog godt der findes dynamiske ip'er osv..)
Som du er inde på, vil udefrakommende invalid trafik som regel komme fra forskellige maskiner næsten hver gang, men geo-filtrering kunne være en mulighed, hvis din server kun er interessant for danske brugere? Med det sagt, så hører jeg også, at du er ved at erkende, at blacklisting ikke er vejen frem, da de netop hurtigt bliver uaktuelle og tunge, så der kunne måske skabes en scripted rotation (og efterfølgende sletning) en gang i døgnet, hvis du insisterer på at opretholde den.
Jeg glemte at nævne etpar viktige ting. 1. Det er internet trafik jeg blokerer, og som flere har nævnt, der er mac adresse ude af billedet. 2. Mit filter stopper også udgående trafik til filtrerede ip-adresser, det vil sige at jeg ikke har meget lyst til at blokkere subnets jeg har brug for at tilgå (f.eks. USA).
Jeg har allerede en slags rotation, eftersom jeg kan vælge varighed på de adresser jeg lægger til min blacklist, og p.t. har jeg valgt en blanding af 1t/24t (afhængig af frekvens), men det kommer fremdeles ind masser af hits på f.eks port 1433,3389 og lignende som helt sikkert er bots.
Noget CRKrogh nævnte var geo-filtrering. Det kan måske være en løsning for at stoppe en del af trafikken.
Meget af lortet kommer også fra USA, noget også fra europa, men jeg vil prøve en løsning som blokerer kun indkommende fra en del af verden som jeg har brug for tilgang til (Europa/USA), og så blokkere totalt dele af verden jeg ikke bryder mig så meget om at tilgå (Rusland/China).
Kan dog se potentielle problemer dersom jeg har brug for at komme ind på hw-support sider i Korea/Vietnam og China. Måske en whitelist i tillæg..
Godt tips, CRKrogh!
Håber på et tidspunkt ISP'er kan se lyset, og kan blokere port 22, 23, 3389 etc. på samme måde som de blokerer port 25 (og så gøre det enkelt at åbne for disse dersom brugerne har behov).
Umiddelbart synes jeg ikke det er hensigtsmæssigt at ISP'erne skal agere "reserve-forældre" på den måde, at blokere legitim trafik på kendte porte. Jeg vil næsten påstå, at de fleste, der har brug for en sådan blokering/filtrering er på et niveau, hvor de er i stand til at træffe fornuftige forholdsregler på egen hånd - præcist som du gør her.
Det er jeg enig i, men eftersom der er så mange botnets der ude som fungerer, så betyder det at vi (verden) er alt for dårlige til at styre vores internet tilgang.
Mit ønske var nok mere at ISP'er har specielle filtre på gentagende trafik fra "mistænkelige lande", eftersom de fleste her i norden ikke er stærkt repræsenteret i de globale botnets.
Eller virkelig hårde straffer for at kontrollere et botnet på over xxx maskiner, og et globalt samarbejde for at finde ud af det. Jeg er virkelig SÅ træt af det. Vi lever i 2016, og fremdeles kan en fyr hvor som helst i verden inficere tusinde af pc'er uden risici.
Det er desværre sjældent, at nogen bliver stillet til ansvar for drift at et bot-net. Noget helt andet er så, at det er temmelig bekosteligt at lave tiltag som DDOS-beskyttelse, hvorfor bl.a. hostingfirmaer og ISP'er tager sig godt betalt for de services - også selvom de ikke på nogen måde vil give nogen form for brugbare garantier....
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.